漏洞信息详情
Ganglia Web ‘get_context.php’跨站脚本漏洞
- CNNVD编号:CNNVD-201311-452
- 危害等级: 中危
- CVE编号: CVE-2013-6395
- 漏洞类型: 跨站脚本
- 发布时间: 2013-11-22
- 威胁类型: 远程
- 更新时间: 2013-12-09
- 厂 商: ganglia
- 漏洞来源: Eric Sesterhenn
漏洞简介
Ganglia Web是一套开源的集群系统监视应用程序,它可监视CPU、内存、硬盘利用率、I/O负载、网络流量情况等,以及通过曲线的方式查看每个节点的工作状态。
Ganglia Web 3.5.8和3.5.10版本中的header.php脚本中存在跨站脚本漏洞,该漏洞源于应用程序没有验证get_context.php脚本中的GET变量。远程攻击者可借助特制的‘host_regex’参数利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/ganglia/ganglia-web/issues/218
参考网址
来源: github.com
链接:https://github.com/ganglia/ganglia-web/issues/218
来源: XF
名称: gangliaweb-cve20136395-xss(89272)
链接:http://xforce.iss.net/xforce/xfdb/89272
来源: www.rusty-ice.de
链接:http://www.rusty-ice.de/advisory/advisory_2013002.txt
来源: SECUNIA
名称: 55854
链接:http://secunia.com/advisories/55854
来源: MLIST
名称: [oss-security] 20131126 Re: CVE request: XSS flaw in Ganglia web interface
链接:http://seclists.org/oss-sec/2013/q4/346
来源: OSVDB
名称: 100380
链接:http://osvdb.org/100380
来源: bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=730507
来源: BID
名称: 63921
链接:http://www.securityfocus.com/bid/63921
受影响实体
- Ganglia Ganglia-Web:3.5.8
- Ganglia Ganglia-Web:3.5.10
补丁
- ganglia-3.6.0
评论